• 请不要在回答技术问题时复制粘贴 AI 生成的内容
tf2
V2EX  ›  程序员

难绷,公司内网也要做防爬虫和 WAF 了

  •  
  •   tf2 · 4h 46m ago · 1528 views

    内部系统,本来开放了一批 REST API ,结果有人 vibe coding 搞出来一大堆 404 。问了下一口咬定这 agent 自主调用跟他无关。

    这得了?一旦有个高危接口 /delete 之类的,被 AI 猜出来了岂不是??

    赶紧把权限校验堵上,刷接口封 IP 的机制给加上。专门申请了个 redis 存 url path <-> IP 的关系,然后如果爆量,然后通过 IT 那边顺着网线找过去。。。。。。

    🤣 🤣 🤣 🤣 🤣

    14 replies    2026-07-07 20:20:32 +08:00
    xylophone21
        1
    xylophone21  
       4h 32m ago
    权限校验 ✅
    防爬虫和 WAF ❌
    adoal
        2
    adoal  
       4h 21m ago
    X-Y problem
    tf2
        3
    tf2  
    OP
       4h 16m ago
    @xylophone21 @adoal

    AI 是直接从浏览器扒下 cookie 和 jwt 请求啊。。。。

    你们以为呢?
    PerFectTime
        4
    PerFectTime  
       3h 59m ago
    找 IT 通报啊,这种东西不需要使用技术手段进行管理,使用行政手段干预
    sentinelK
        5
    sentinelK  
       3h 54m ago   ❤️ 1
    “一旦有个高危接口 /delete 之类的,被 AI 猜出来了岂不是??”

    贵司暴露一个高危 API ,不做任何鉴权保护,这和 AI 有啥关系……
    tf2
        6
    tf2  
    OP
       3h 42m ago
    @sentinelK 前面的兄弟跟你一样的问题,但是你猜猜 AI 遇到需要鉴权的是不是就束手无策了?

    你猜猜让 AI 干活儿的会不会给自己登录信息?

    @PerFectTime 对的。就是准备干这个事。。。
    PerFectTime
        7
    PerFectTime  
       3h 41m ago
    @tf2 #6 你怎么加限制给 ai 都没有用的,他都会想方设法绕过,雷霆行政手段出击即可
    tf2
        8
    tf2  
    OP
       3h 40m ago
    @PerFectTime 我现在面临的问题是 感知。。以前内网 API 谁会去在意啊。所以得自己采集特征。跟 AI 对抗,很难绷。。。
    winnerczwx
        9
    winnerczwx  
       3h 29m ago
    你的意思是 AI Agent 在无命令的情况下自主扫描接口, 组织参数并调用?

    用的啥模型, 发出来避雷一下
    PerFectTime
        10
    PerFectTime  
       3h 25m ago
    @tf2 #8 做日志审计就好了,然后做好 qps 限制,只记录不提醒
    383394544
        11
    383394544  
       3h 17m ago
    治标的办法是不要暴露 delete rest api ,而是设置删除状态 (soft-delete)。之后你们在后台跑脚本删
    deplives
        12
    deplives  
       2h 53m ago
    难绷, [一旦有个高危接口 /delete 之类的,被 AI 猜出来了岂不是]
    Greenm
        13
    Greenm  
       2h 25m ago   ❤️ 1
    反爬和 WAF 主要是防范来自于外部的恶意请求。

    而你们现在最大的问题是内部自己人不知道如何使用 AI ,导致 AI 发出了超过自己控制的请求,也就是说这个东西你们掌控不住。

    而 WAF 和反爬防不住发送请求到 DELETE 接口,只会给你们正常的工作带来困扰。
    tf2
        14
    tf2  
    OP
       1h 19m ago
    @Greenm WAF 和反爬怎么就防不住了?蜜罐搞起来。试出来第一个 404 API 就直接封 IP 。你看放防不防得住 😂 😂 😂 😂 😂 😂
    @383394544 你这里有个业务配置,业务掉用 API 创建和删除,请问你是否提供删除 API ?真正对接的调用方是知道什么场景下使用的。AI agent 可不知道。
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   3087 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 59ms · UTC 13:39 · PVG 21:39 · LAX 06:39 · JFK 09:39
    ♥ Do have faith in what you're doing.